STANDAR
INTERNASIONAL ISO / FDIS 31000
Manajemen
Risiko - Prinsip dan Pedoman
Daftar Isi
Kata pengantar
Pengenalan
1 Ruang lingkup
2 Istilah dan definisi
3 Prinsip
4 Kerangka
4.1 Umum
4.2 Mandat dan komitmen
4.3 Disain kerangka kerja untuk
mengelola risiko
4.3.2 Menetapkan kebijakan
manajemen risiko
4.3.3 Akuntabilitas
4.3.4 Integrasi ke dalam prosedur
organisasi
4.3.5 Sumber Daya
4.3.6 Membangun komunikasi
internal dan mekanisme pelaporan
4.3.7 Membangun komunikasi
eksternal dan mekanisme pelaporan
4.4 Menerapkan manajemen risiko
4.4.1 Menerapkan kerangka kerja
untuk mengelola risiko
4.4.2 Menerapkan prosedur
manajemen risiko
4.5 Pemantauan dan peninjauan
kerangka
4,6
berkesinambungan perbaikan kerangka
5 Prosedur
5.1 Umum
5.2 Komunikasi dan konsultasi
5.3 Menetapkan konteks
5.3.1 Umum
5.3.2 Menetapkan konteks eksternal
5.3.3 Menetapkan konteks internal
5.3.4 Menetapkan konteks prosedur
manajemen risiko
5.3.5 Mendefinisikan kriteria
risiko
5.4 Penilaian risiko
5.4.1 Umum
5.4.2 Identifikasi risiko
5.4.3 Analisis Risiko
5.4.4 Risiko evaluasi
5,5 Penanganan Risiko
5.5.1 Umum
5.5.2 Pemilihan pilihan penanganan
risiko
5.5.3 Membuat dan melaksanakan rencana
risiko penanganan
5.6 Pemantauan dan review
5.7
Rekaman prosedur manajemen risiko
Lampiran A
(informatif) Atribut manajemen risiko yang disempurnakan
Kata
pengantar
ISO (Organisasi Internasional
untuk Standardisasi) adalah federasi dunia dari badan standar nasional (badan
anggota ISO). Kegiatan penyiapan Standar Internasional biasanya dilakukan
melalui komite teknis ISO. Setiap anggota lembaga ini yang memiliki kepentingan
terhadap permasalahan yang ditetapkan oleh komite teknis berhak untuk mengirimkan
wakilnya dalam komite ini. Organisasi internasional, pemerintah dan lembaga
non-pemerintah, bersama ISO, ikut berpartisipasi dalam kegiatan ini. ISO
memiliki kerja sama yang erat dengan Komisi Elektroteknik Internasional (IEC)
kaitannya dengan masalah standardisasi elektroteknik. Standar Internasional ini
disampaikan sesuai rencana peraturan yang dikeluarkan dalam ISO/IEC Bagian
kedua.
Tugas utama komite teknis adalah
untuk mempersiapkan Standar Internasional. Rancangan Standar Internasional yang
akan dibahas oleh komite teknik disampaikan kepada seluruh anggota organisasi
untuk disetujui melalui pemungutan suara. Penerbitan Standar Internasional
membutuhkan persetujuan
sekurang-kurangnya 75% dari anggota organisasi yang memiliki hak suara.
Untuk diperhatikan, bahwa, kemungkinan beberapa bagian dari dokumen ini terkena
hak paten. ISO tidak bertanggung jawab untuk mengidentifikasi setiap atau semua
hak paten yang masuk dalam standar internasional yang disusun.
ISO 31000 dipersiapkan oleh
Kelompok Kerja Manajemen Risiko Manajemen Teknis ISO.
Pendahuluan
Semua organisasi dengan berbagai
jenis dan skala, menghadapi berbagai faktor internal dan eksternal yang
mempengaruhi terhadap ketidakpastianapakah dapat dan kapal mereka akan mencapai
tujuan yang diharapkan. Dampak ketidakpastian terhadap tujuan organisasi
disebut "risiko".
Semua kegiatan dari suatu
organisasi memiliki risiko. Organisasi melakukan pengelolaan risiko dengan
mengidentifikasi, menganalisis dan kemudian mengevaluasi, apakah risiko harus
dimodifikasi dengan penanganan risiko dalam rangka untuk memenuhi kriteria
risiko diharapkan. Selama prosedur ini, dilakukan komunikasi dan konsultasi
dengan para pemangku kepentingan, serta memantau dan mengkaji ulang risiko,
kemudian mengendalikan dengan memodifikasi risiko untuk memastikan bahwa tidak
diperlukan penanganan risiko lebih lanjut. Standar ini menggambarkan prosedur
yang sistematis dan logis secara rinci.
Sementara, di saat semua
organisasi melakukan pengelolaan risiko untuk beberapa tingkat, standar ini
menetapkan sejumlah prinsip yang perlu dipenuhi dalam menyusun manajemen risiko
yang efektif. Standar ini merekomendasikan bahwa organisasi dapat
mengembangkan, melaksanakan dan terus meningkatkan kerangka kerja yang tujuannya
untuk mengintegrasikan seluruh prosedur dalam mengelola risiko ke dalam tata
kelola, strategi dan perencanaan, manajemen, prosedur pelaporan, kebijakan,
nilai dan budaya organisasi.
Manajemen risiko dapat diterapkan
pada seluruh tingkatan organisasi, baik di berbagai area dan tingkatan,
dilaksanakan setiap saat secara spesifik, fungsi proyek dan juga kegiatan
lainnya. Meskipun praktek manajemen risiko telah dikembangkan dari waktu ke
waktu dan dalam banyak sektor dalam rangka memenuhi kebutuhan yang beragam,
penerapan prosedur yang konsisten dalam kerangka kerja yang komprehensif dapat
membantu untuk memastikan bahwa risiko telah dikelola secara efektif, efisien
dan sesuai di seluruh organisasi. Pendekatan generik yang diuraikan dalam
standar ini, menyediakan prinsip-prinsip dan pedoman untuk mengelola segala
bentuk risiko secara sistematis, transparan, masuk akal dan dalam setiap
lingkup dan konteks pekerjaan. Setiap sektor tertentu atau penerapan manajemen
risiko membawa serta kebutuhan individu, pihak terkait, persepsi dan kriteria.
Oleh karena itu, fitur kunci dari standar ini adalah dimasukkannya
"penetapan konteks" sebagai suatu kegiatan pada awal dari prosedur
manajemen risiko generik. Menetapkan konteks akan mampu menangkap tujuan dari
organisasi, lingkungan di mana organisasi berupaya mencapai tujuan tersebut,
para pemangku kepentingan dan keragaman kriteria risiko - yang semuanya akan
membantu mengungkapkan dan menilai sifat dan kompleksitas dari risiko tersebut.
Hubungan antara prinsip-prinsip
dalam mengelola risiko, kerangka kerja yang disusun dan prosedur manajemen
risiko yang dijelaskan dalam standar ini, diperlihatkan pada Gambar 1. Ketika
hal ini diterapkan dan ditangani sesuai dengan standar ini, maka manajemen
risiko akan mampu memberikan manfaat bagi organisasi, misalnya:
o
meningkatkan
kemungkinan pencapaian tujuan;
o
mendorong
manajemen proaktif;
o
menyadari
kebutuhan untuk mengidentifikasi dan menangani risiko di seluruh organisasi;
o
meningkatkan
identifikasi peluang dan ancaman;
o
mematuhi
persyaratan hukum dan peraturan yang relevan dan norma-norma internasional;
o
meningkatkan
pelaporan keuangan;
o
meningkatkan
tata kelola organisasi;
o
meningkatkan
kepercayaan dan keyakinan pemangku kepentingan;
o
membangun
dasar yang dapat diandalkan dalam pengambilan keputusan dan perencanaan;
o
meningkatkan
kontrol;
o
efektif
mengalokasikan dan menggunakan sumber daya untuk pengelolaan risiko;
o
meningkatkan
efektivitas dan efisiensi operasional;
o
meningkatkan
kesehatan dan kinerja keselamatan, serta perlindungan lingkungan;
o
meningkatkan
pencegahan kerugian dan manajemen kecelakaan;
o
meminimalkan
kerugian;
o
meningkatkan
pembelajaran organisasi, dan
o
meningkatkan
ketahanan organisasi.
Standar ini dimaksudkan untuk
memenuhi kebutuhan berbagai pemangku kepentingan, termasuk:
a)
pihak
yang bertanggung jawab dalam mengembangkan kebijakan manajemen risiko dalam
organisasi;
b)
pihak
yang bertanggung jawab untuk menjamin risiko yang efektif dikelola dalam
organisasi secara keseluruhan atau dalam proyek, wilayah tertentu atau kegiatan;
c)
pihak
yang membutuhkan untuk mengevaluasi efektivitas organisasi dalam mengelola
risiko, dan
d)
pengembangan
standar, panduan, prosedur dan kode praktek bahwa, dalam keseluruhan maupun
sebagian, ditetapkan bagaimana risiko harus dikelola dalam konteks spesifik
dari dokumen-dokumen ini.
Praktek manajemen saat ini dan
prosedur dari banyak organisasi termasuk komponen manajemen risiko, dan banyak
organisasi telah mengadopsi prosedur manajemen risiko formal untuk jenis risiko
tertentu atau keadaan. Dalam kasus tersebut, organisasi dapat memutuskan untuk
melakukan tinjauan kritis terhadap praktek yang ada dan prosedur dalam terang
standar ini. Dalam standar ini, istilah "manajemen risiko" dan
"pengelolaan risiko" keduanya digunakan. Secara umum, "manajemen
risiko" mengacu pada arsitektur (prinsip, kerangka kerja dan prosedur)
untuk mengelola risiko secara efektif, sementara "pengelolaan risiko"
adalah menerapkan arsitektur yang memiliki risiko tertentu.
Gambar 1 : Hubungan
Antara Prinsip Manajemen Risiko, Kerangka dan Prosedur
|
Manajemen
Risiko : Prinsip dan Pedoman
1.
Ruang lingkup
Standar
ini memberikan prinsip-prinsip dan pedoman generik pada manajemen risiko.
Standar ini dapat digunakan oleh setiap perusahaan publik, swasta atau masyarakat,
asosiasi, kelompok atau individu. Oleh karena itu, standar ini tidak spesifik
untuk setiap industri atau sektor.
Catatan
:
Secara
umum, semua pengguna yang berbeda dari standar ini disebut dengan istilah
"organisasi".
Standar
ini dapat diterapkan di seluruh kehidupan organisasi, dan untuk berbagai
kegiatan, termasuk strategi dan keputusan, operasi, prosedur, fungsi, proyek,
produk jasa dan aset. Standar ini dapat diterapkan untuk semua jenis risiko,
apapun sifatnya, apakah memiliki konsekuensi positif atau negatif.
Meskipun
standar ini memberikan panduan generik, tidak dimaksudkan untuk mempromosikan
keseragaman manajemen risiko di seluruh organisasi. Disain dan pelaksanaan
rencana manajemen risiko dan kerangka kerja perlu mempertimbangkan berbagai
kebutuhan organisasi tertentu, tujuan tertentu tersebut, konteks, struktur,
operasi, prosedur, fungsi, proyek, produk, jasa, atau aset dan praktek khusus
yang diterapkan.
Hal
ini dimaksudkan agar standar ini dapat digunakan untuk menyelaraskan prosedur
manajemen risiko pada standar yang telah digunakan, juga untuk masa mendatang.
Selain itu, juga memberikan gambaran mengenai pendekatan umum dalam mendukung
standar yang berkaitan dengan risiko tertentu dan/atau sektor tertentu, namun
tidak merubah standar yang telah ada.
Standar
ini tidak dimaksudkan untuk tujuan sertifikasi.
2.
Istilah dan definisi
Untuk
keperluan dokumen ini, istilah dan definisi yang diberlakukan sebagai berikut :
2.1.
Risiko
Efek ketidakpastian terhadap tujuan
Catatan :
1.
Efek
adalah sebuah penyimpangan dari apa yang diharapkan - positif dan/atau negatif.
2.
Tujuan
dapat memiliki aspek yang berbeda (seperti tujuan keuangan, kesehatan dan
keselamatan serta lingkungan) dan dapat diterapkan pada tingkatan yang berbeda
(seperti strategis, organisasi besar, proyek, produk dan prosedur).
3.
Risiko
selalu mengacu pada potensi terjadinya peristiwa (2.19) dan konsekuensi (2.20),
atau kombinasi dari semuanya.
4.
Risiko
ini sering dinyatakan dalam kombinasi konsekuensi dari suatu peristiwa
(termasuk perubahan keadaan) dan kemungkinan terkait (2.21) terjadinya risiko
tersebu.
5.
Ketidakpastian
adalah status keadaan, cukup parsial, kekurangan informasi yang berkaitan
dengan hal tersebut, pemahaman atau pengetahuan dari suatu peristiwa,
konsekuensi, atau kemungkinan. [ISO Guide 73:2009, definisi 1,1]
2.2.
Manajemen Risiko
Kegiatan yang terkoordinasi dalam mengarahkan
dan mengendalikan organisasi yang berkaitan dengan risiko (2.1) [ISO Guide
73:2009, definisi 2.1]
2.3.
Kerangka Manajemen Risiko
Sekumpulan komponen yang menjadi landasan dan
pengaturan organisasi dalam merancang, melaksanakan, memantau (2.28), mengkaji
ulang dan menyempurnakan manajemen risiko secara berkesinambungan (2.2) di
seluruh tingkatan organisasi.
Catatan :
1.
Landasan,
yang meliputi kebijakan, tujuan, mandat dan komitmen untuk mengelola risiko
(2,1).
2.
Pengaturan
organisasi termasuk perencanaan, hubungan, akuntabilitas, sumber daya, prosedur
dan kegiatan.
3.
Kerangka
manajemen risiko tertuang dalam kebijakan organisasi secara keseluruhan
strategis, operasional dan praktek. [ISO
Guide 73:2009, definisi 2.1.1]
2.4.
Kebijakan Manajemen Risiko
Pernyataan umum dan arah organisasi berkaitan
dengan manajemen risiko (2.2) [ISO Guide 73:2009, definisi 2.1.2]
2.5.
Prilaku Risiko
Pendekatan organisasi dalam menilai dan
memastikan, menyimpan, mengambil atau menghindarii risiko (2.1) [ISO Guide
73:2009, definisi 3.7.1.1]
2.6.
Rencana Manajemen Risiko
Skema dalam kerangka manajemen risiko (2.3)
untuk menentukan pendekatan, komponen manajemen dan sumber daya yang dipakai
dengan pengelolaan risiko (2.1)
Catatan :
1.
Komponen
manajemen biasanya mencakup prosedur, praktek, tugas tanggung jawab, urutan dan
waktu kegiatan.
2.
Rencana
manajemen risiko dapat diterapkan pada prosedur, produk tertentu dan proyek,
baik sebagian ataupun pada seluruh organisasi.
2.7.
Pemilik Risiko
Orang atau badan yang memiliki wewenang dan
tanggung jawab dalam mengelola risiko (2.1) [ISO Guide 73:2009, definisi
3.5.1.4]
2.8.
Prosedur Manajemen Risiko
Aplikasi sistematis dari kebijakan manajemen,
prosedur dan pelaksanaan dalam kegiatan bkomunikasi, konsultasi, menetapkan
konteks dan mengidentifikasi, menganalisis, mengevaluasi, menangani, memantau
(2.28) dan mengkaji ulang risiko (2.1) [ISO Guide 73:2009, definisi 3.1]
2.9.
Penentuan Konteks
Mendefinisikan parameter eksternal dan internal
yang diambil dalam mengelola risiko, dan menetapkan cakupan kriteria dan risiko
(2.22) dalam pengambilan kebijakan manajemen risiko (2.4) [ISO Guide 73:2009,
definisi 3.3.1]
2.10.
Konteks Eksternal
Lingkungan eksternal dimana organisasi
berusaha untuk mencapai tujuannya.
Catatan :
Konteks eksternal meliputi:
-
lingkungan
budaya, sosial, politik, hukum, peraturan, keuangan, teknologi, ekonomi, alam
dan kompetitif, baik internasional, nasional, regional atau lokal;
-
kebijakan
pokok dan kecenderungan yang berdampak terhadap tujuan organisasi; dan
-
hubungannya
dengan, persepsi dan nilai-nilai, pemangku kepentingan eksternal (2.13).
[ISO Guide 73:2009, definisi 3.3.1.1]
[ISO Guide 73:2009, definisi 3.3.1.1]
2.11.
Konteks Internal
Lingkungan internal dimana organisasi berusaha
untuk mencapai tujuannya
Catatan :
Konteks internal meliputi:
-
Tata
kelola, struktur organisasi, fungsi dan tanggung jawab;
-
kebijakan,
sasaran, dan strategi serta upaya untuk pencapaiannya;
-
kemampuan
pemahaman yang berkaitan dengan sumber daya dan pengetahuan (misalnya modal,
waktu, orang, prosedur, sistem dan teknologi);
-
persepsi
dan nilai-nilai pemangku kepentingan internal;
-
sistem
informasi, arus informasi dan prosedur pengambilan keputusan (baik formal
maupun informal);
-
hubungan
dengan, persepsi dan nilai-nilai, pemangku kepentingan internal;
-
budaya
organisasi;
-
standar,
pedoman dan model yang digunakan oleh organisasi; dan
-
format
dan skala hubungan kerjasama. [ISO Guide 73:2009, definisi 3.3.1.2]
2.12.
Komunikasi dan Konsultasi
Prosedur yang dilakukan secara terus-menerus
dan berulang-ulang oleh organisasi dalam menyediakan, membagi atau memperoleh
informasi dan melakukan dialog dengan para pemangku kepentingan (2.13) dan
pihak terkait berkaitan dengan pengelolaan risiko (2.1)
Catatan :
1.
Informasi
dapat berhubungan dengan keberadaan, sifat, bentuk, kemungkinan (2.19), tingkat
keparahan, evaluasi, penerimaan, penanganan atau aspek lain dari manajemen
risiko.
2.
Konsultasi
merupakan prosedur komunikasi informasi dua arah antara organisasi dan para
pemangku kepentingan atau pihak terkait sebelum melakukan pengambilan keputusan
atau menentukan arah pada penanganan masalah tertentu. Jadi, konsultasi adalah:
-
prosedur
yang memiliki dampak terhadap pengambilan keputusan melalui pengaruh daripada
kekuasaan; dan
-
masukan
untuk pengambilan keputusan, bukan pengambilan keputusan bersama.
[ISO Guide 73:2009, definisi 3.2.1]
[ISO Guide 73:2009, definisi 3.2.1]
2.13.
Pemangku Kepentingan
Orang atau organisasi yang dapat mempengaruhi,
dipengaruhi oleh, atau menganggap diri mereka akan terpengaruh oleh keputusan
atau kegiatan
Catatan :
Seorang pembuat keputusan dapat juga sebagai
pemangku kepentingan. [ISO Guide 73:2009, definisi 3.2.1.1]
2.14.
Penilaian Risiko
Keseluruhan prosedur identifikasi risiko
(2.15), analisis risiko (2.21) dan evaluasi risiko (2.24) [ISO Guide 73:2009,
definisi 3.4.1]
2.15.
Identifikasi Risiko
Prosedur menemukan, mengenali dan
menggambarkan risiko (2.1)
Catatan :
1.
Identifikasi
risiko meliputi identifikasi sumber risiko (2.18), peristiwa (2.19), penyebab
dan konsekuensi potensial mereka (2.20).
2.
Identifikasi
risiko dapat menggunakan data historis, analisis teoritis, pendapat ahli dan
informasi, serta (2.15) kebutuhan pemangku kepentingan. [ISO Guide 73:2009,
definisi 3.5.1]
2.16.
Sumber Risiko
Suatu unsur atau kombinasi unsur yang memiliki
potensi intrinsik dalam menimbulkan risiko (2.1)
Catatan :
Sumber risiko dapat berwujud atau tidak
berwujud. [ISO Guide 73:2009, definisi 3.5.1.1]
2.17.
Kejadian
Peristiwa atau perubahan suatu situasi yang
tertentu.
Catatan :
1.
Satu
peristiwa atau lebih yang terjadi kerana beberapa penyebab.
2.
Satu
peristiwa karena sesuatu yang tidak terjadi.
3.
Suatu
peristiwa kadang-kadang dapat disebut sebagai sebuah "insiden" atau
"kecelakaan".
4.
Suatu
kejadian tanpa konsekuensi dapat juga disebut sebagai "nyaris",
"insiden", "hampir terjadi" atau "mendekatyi
bahaya". [ISO Guide 73:2009, definisi 3.5.1.2]
2.18.
Konsekuensi
Hasil dari suatu peristiwa (2.17) yang
mempengaruhi tujuan
Catatan :
1.
Sebuah
kejadian dapat menyebabkan berbagai konsekuensi.
2.
Konsekwensi
bisa merupakan hal yang pasti atau atau tidak pasti dan dapat memiliki efek
positif atau negatif pada tujuan.
3.
Konsekuensi
dapat dinyatakan secara kualitatif maupun kuantitatif.
4.
Konsekuensi
awal dapat meningkat melalui efek dari kejadian tersebut. [ISO Guide 73:2009,
definisi 3.6.1.3]
2.19.
Kemungkinan
Kemungkinan terjadinya sesuatu.
Catatan :
1.
Dalam
terminologi manajemen risiko, kata "kemungkinan" digunakan untuk
merujuk pada kemungkinan terjadinya sesuatu, baik yang didefinisikan, diukur
atau ditentukan secara obyektif atau subyektif, kualitatif maupun kuantitatif,
dan dijelaskan menggunakan istilah umum atau matematis (seperti probabilitas
atau frekuensi selama periode waktu tertentu).
2.
Istilah
"kemungkinan" (likehood, bahasa Inggris) tidak memiliki persamaan
yang setara dalam beberapa bahasa, melainkan persaman dengan
"kemungkinan" (probability, bahasa Inggeris), dan iIstilah ini yang
sering digunakan. Namun, dalam bahasa Inggris, "kemungkinan"
(probability) sering diartikan secara sempit sebagai istilah matematika. Karena
itu, dalam manajemen risiko terminologi, "kemungkinan" (likehood)
digunakan dengan maksud bahwa hal tersebut harus memiliki interpretasi yang
luas sama dengan "kemungkinan" (probability) memiliki persamaan dalam
banyak bahasa selain bahasa Inggris. [ISO Guide 73:2009, definisi 3.6.1.1]
2.20.
Profil Risiko
Uraian tentang suatu risiko (2.1)
Catatan :
Suatu
risiko dapat berhubungan dengan seluruh organisasi, sebagian organisasi,
atau seperti yang didefinisikan. [ISO Guide 73:2009, definisi 3.8.2.5]
2.21.
Analisis Risiko
Prosedur untuk memahami sifat dari risiko
(2.1) dan untuk menentukan tingkat risiko (2.23)
Catatan :
1.
Analisis
risiko memberikan dasar dalam melakukan evaluasi risiko (2.26) dan pengambilan
keputusan berkaitan dengan penanganan risiko (2.25).
2.
Dalam
analisis risiko sudah termasuk estimasi risiko. [ISO Guide 73:2009, definisi
3.6.1]
2.22.
Kriteria Risiko
Kondisi pasti dari suatu risiko (2.1) yang
dievaluasi
Catatan :
1.
Kriteria
risiko didasarkan pada tujuan organisasi, dan konteks eksternal (2.10) dan
konteks internal (2.11).
2.
Kiteria
risiko dapat diambil dari standar, hukum, kebijakan dan persyaratan lainnya.
[ISO Guide 73:2009, definisi 3.3.1.3]
2.23.
Tingkat Risiko
Bobot risiko (2.1), dinyatakan dalam kombinasi
konsekuensi (2.18) dan kemungkinan (2.19) [ISO Guide 73:2009, definisi 3.6.1.8]
2.24.
Evaluasi Risiko
Prosedur membandingkan hasil analisis risiko
(2.21) dengan kriteria risiko (2.22) untuk menentukan apakah risiko (2.1)
dan/atau bobot risiko dapat diterima atau ditoleransi
Catatan :
Evaluasi risiko membantu dalam pengambilan
keputusan tentang penanganan risiko (2.25). [ISO Guide 73:2009, definisi 3.7.1]
2.25.
Penanganan Risiko
Prosedur untuk memodifikasi risiko (2.1)
Catatan :
1.
Penanganan
risiko dapat berbentuk:
-
menghindari
risiko melalui pengambilan keputusan untuk tidak memulai atau melanjutkan
dengan kegiatan yang menimbulkan risiko;
-
mengambil
atau meningkatkan risiko untuk mengejar kesempatan;
-
menghilangkan
sumber risiko (2.18);
-
mengubah
kemungkinan (2.21);
-
mengubah
konsekuensi (2.20);
-
berbagi
risiko ke satu pihak lain atau lebih (termasuk kontrak dan pembiayaan risiko),
dan
-
mempertahankan
risiko dengan pilihan informasi.
2.
Penanganan
risiko yang berhubungan dengan konsekuensi negatif kadang-kadang disebut
sebagai "mitigasi risiko", "penghapusan risiko",
"pencegahan risiko" dan "pengurangan risiko".
3.
Penanganan
Risiko dapat menciptakan risiko baru atau memodifikasi risiko yang ada. [ISO
Guide 73:2009, definisi 3.8.1]
2.26.
Pengendalian
Ukuran yang memodifikasi risiko (2,1)
Catatan :
1.
Pengendalian
mencakup prosedur, kebijakan, perangkat, praktek, atau tindakan lain yang
memodifikasi risiko.
2.
Pengendalian
mungkin tidak selalu memberikan efek memodifikasi yang dimaksudkan atau
diasumsikan.
2.27.
Sisa Risiko
Risiko (2.1) yang tersisa setelah penanganan
risiko dilakukan (2.25)
Catatan :
1.
Sisa
risiko dapat mengandung risiko tak dikenal.
2.
Sisa
risiko dikenal juga sebagai "risiko yang tertahan". [ISO Guide
73:2009, definisi 3.8.1.6]
2.28.
Pemantauan
Pemeriksaan, pengawasan, observasi kritis atau
penentuan status secara trerus menerus untuk mengidentifikasi perubahan tingkat
kinerja yang diperlukan atau diharapkan.
Catatan :
Hal ini dapat diterapkan pada kerangka kerja
manajemen risiko (2.3), prosedur manajemen risiko (2.8), risiko (2.1) atau
pengendalian (2.26). [ISO Guide 73:2009, definisi 3.8.2.1]
2.29.
Kaji Ulang
Kegiatan yang dilakukan untuk menentukan
kesesuaian, ketercukupan dan efektivitas permasalahan yang ada dalam mencapai
tujuan yang ditetapkan.
Catatan :
Penkajian ulang dapat diterapkan pada kerangka
kerja manajemen risiko (2.3), prosedur manajemen risiko (2.8), risiko (2,1)
atau pengendalian (2.26). [ISO Guide 73:2009, definisi 3.8.2.2]
3.
Prinsip-prinsip
Agar manajemen risiko menjadi efektif, maka
pada semua tingkatan organisasi harus menerapkan prinsip-prinsip di bawah ini.
a)
Manajemen Risiko Menciptakan dan
Melindungi Nilai
Manajemen risiko memberikan kontribusi
terhadap pencapaian tujuan dan perbaikan kinerja, misalnya, kesehatan manusia
dan keselamatan, keamanan, kepatuhan hukum dan peraturan, penerimaan
masyarakat, perlindungan lingkungan, kualitas produk, manajemen proyek,
efisiensi dalam operasi, tata kelola dan reputasi.
b)
Manajemen Risiko Merupakan Bagian
Integral Dari Semua Prosedur Organisasi
Manajemen risiko bukan merupakan aktivitas
yang berdiri sendiri dan terpisah dari kegiatan utama dan prosedur organisasi.
Manajemen risiko adalah bagian dari tanggung jawab manajemen dan merupakan
bagian integral dari semua prosedur organisasi, termasuk perencanaan strategis
dan semua proyek dan prosedur perubahan manajemen.
c)
Manajemen Risiko adalah Bagian
dari Pengambilan Keputusan.
Manajemen risiko membantu para pengambil
keputusan memilih informasi, memprioritaskan tindakan dan membedakan antara
program alternatif dari tindakan.
d)
Manajemen Risiko Secara Eksplisit
Membahas Ketidakpastian
Manajemen risiko secara eksplisit memperhitungkan
ketidakpastian, sifat ketidakpastian itu, dan bagaimana hal itu dapat diatasi.
e)
Manajemen Risiko merupakan Sesuatu
yang Sistematis, Terstruktur dan Tepat Waktu
Pendekatan sistematis, tepat waktu dan
terstruktur dalam manajemen risiko, menunjang efisiensi dan hasil yang
konsisten, sebanding dan dapat diandalkan.
f)
Manajemen Risiko Didasarkan Atas
Informasi Terbaik Yang Tersedia
Masukan yang digunakan dalam prosedur
pengelolaan risiko berdasarkan sumber informasi, yang meliputi data historis,
pengalaman, umpan balik pemangku kepentingan, observasi, ramalan dan penilaian
ahli. Namun, pengambil keputusan harus membekali diri dan memperhitungkan,
setiap keterbatasan data atau pemodelan yang digunakan atau kemungkinan
perbedaan antara para ahli.
g)
Manajemen Risiko Selalu
Menyesuaikan Diri
Manajemen risiko selalu disesuaikan dengan
konteks organisasi eksternal dan internal dan profil risiko.
h)
Manajemen Risiko Membutuhkan
Faktor Manusia dan Budaya Dalam Perhitungannya
Manajemen risiko mengelola kemampuan, persepsi
dan keinginan pihak eksternal dan internal yang dapat mendukung atau menghambat
pencapaian tujuan organisasi.
i)
Manajemen Risiko merupakan Sesuatu
yang Transparan dan Inklusif
Peran serta yang sesuai dan tepat waktu dari
pemangku kepentingan dan, khususnya, para pengambil keputusan di semua tingkat
organisasi, memastikan bahwa manajemen risiko tetap relevan dan mutakhir.
Keterlibatan dan pandangan pemangku kepentingan harus benar-benar terwakili dan
diperhitungkan dalam menentukan kriteria risiko.
j)
Manajemen Risiko merupakan Sesuatu
yang Dinamis, Iteratif dan Responsif Terhadap Perubahan.
Manajemen risiko secara terus menerus
disesuaikan dengan perubahan yang terjadi, seperti kejadian eksternal dan
internal, konteks dan perubahan pengetahuan, pemantauan dan kaji ulang,
munculnya risiko baru, adanya risiko yang berubah atau menghilang.
k)
Manajemen Risiko Memfasilitasi
Perbaikan Berkesinambungan Dari Organisasi
Organisasi harus mengembangkan dan menerapkan
strategi untuk meningkatkan kematangan manajemen risiko bersama semua aspek
lain dari organisasi. Lampiran A memberikan saran lebih lanjut untuk organisasi
yang ingin mengelola risiko secara lebih efektif.
4.
Kerangka
4.1.
Umum
Keberhasilan manajemen risiko sangat
bergantung pada efektivitas kerangka manajemen dalam menyediakan dasar dan
pengaturan yang akan diterapkan di seluruh tingkatan organisasi. Kerangka kerja
ini membantu dalam mengelola risiko secara efektif melalui penerapan prosedur
manajemen risiko (lihat butir 5) di berbagai tingkatan dan konteks tertentu
dalam organisasi. Kerangka kerja ini menjamin bahwa informasi tentang risiko
yang berasal dari berbagai prosedur yang dilaporkan dan digunakan sebagai dasar
untuk pengambilan keputusan dan tanggung jawab di semua tingkat organisasi yang
relevan.
Butir ini menjelaskan komponen penting dari
kerangka kerja dalam mengelola risiko dan hubungan atnar komponen secara
iteratif, seperti yang ditunjukkan pada Gambar 2.
Gambar 2 - Hubungan antara komponen kerangka
kerja untuk mengelola risiko
Kerangka kerja ini tidak dimaksudkan untuk
dipaksakan pada sistem manajemen, tetapi lebih untuk membantu organisasi untuk
mengintegrasikan manajemen risiko ke dalam sistem manajemen secara keseluruhan.
Oleh karena itu, organisasi harus mampu beradaptasi pada setiap komponen dari
kerangka kerja untuk kebutuhan spesifik organisasi.
Apabila organisasi melaksanakan kegiatan dan
prosedur manajemen, termasuk komponen manajemen risiko atau jika organisasi
telah mengadopsi prosedur manajemen risiko formal untuk jenis risiko atau
situasi tertentu, maka organisasi harus mempu menelaah secara kritis
berdasarkan standar ini, termasuk atribut yang terkandung dalam Lampiran A,
dalam menentukan ketercukupan dan efektivitas.
4.2.
Mandat dan komitmen
Memperkenalkan manajemen risiko dan menjamin
efektifitas secara terus-menerus, memerlukan komitmen yang kuat dan
berkelanjutan dari manajemen organisasi, serta perencanaan strategis dan ketat
untuk mencapai komitmen di semua tingkatan. (Oleh karena itu) pihak manajemen harus:
o
menentukan
dan mendukung kebijakan manajemen risiko;
o
memastikan
bahwa budaya organisasi dan kebijakan manajemen risiko sejalan;
o
menentukan
indikator kinerja manajemen risiko yang sejalan dengan indikator kinerja
organisasi;
o
menyelaraskan
tujuan manajemen risiko dengan tujuan dan strategi organisasi;
o
memastikan
kepatuhan hukum dan peraturan;
o
menetapkan
akuntabilitas dan tanggung jawab pada tingkat yang tepat dalam organisasi;
o
memastikan
bahwa sumber daya yang diperlukan dialokasikan dengan manajemen risiko;
o
mengkomunikasikan
manfaat manajemen risiko bagi seluruh pemangku kepentingan, dan
o
memastikan
bahwa kerangka untuk mengelola risiko terus tetap sesuai.
4.3.
Disain Kerangka Kerja Untuk
Mengelola Risiko
4.3.1.
Memahami Organisasi dan Konteksnya
Sebelum memulai disain dan implementasi
kerangka kerja untuk mengelola risiko, penting untuk mengevaluasi dan memahami
kedua konteks eksternal dan internal organisasi, karena ini dapat secara
signifikan mempengaruhi disain dari kerangka kerja yang ada.
Mengevaluasi konteks eksternal organisasi,
namun tidak terbatas pada:
a)
sosial
dan budaya hukum, peraturan, keuangan, teknologi, lingkungan ekonomi, alam dan
kompetitif, baik internasional, nasional, regional atau lokal;
b)
pendorong
utama dan kecenderungan yang berdampak terhadap tujuan organisasi; dan
c)
hubungan
dengan, dan persepsi dan nilai-nilai, pemangku kepentingan eksternal.
d)
Mengevaluasi
konteks internal organisasi dapat meliputi, tetapi tidak terbatas pada:
o
pemerintahan,
struktur organisasi, peran dan akuntabilitas;
o
kebijakan,
sasaran, dan strategi yang berada di tempat untuk mencapainya;
o
kemampuan,
dipahami dalam hal sumber daya dan pengetahuan (misalnya modal, waktu, orang,
prosedur, sistem dan teknologi);
o
sistem
informasi, arus informasi dan prosedur pengambilan keputusan (baik formal dan
informal);
o
hubungan
dengan, dan persepsi dan nilai-nilai, pemangku kepentingan internal dan budaya
organisasi;
o
standar,
pedoman dan model yang diadopsi oleh organisasi; dan
o
format
dan skala hubungan kerjasama.
4.3.2.
Menetapkan Kebijakan Manajemen
Risiko
Kebijakan manajemen risiko harus dengan jelas
menyatakan tujuan organisasi, dan komitmen untuk, manajemen risiko dan terdiri
atas:
o
alasan
organisasi untuk mengelola risiko;
o
hubungan
antara tujuan kebijakan dan organisasi dengan kebijakan manajemen risiko;
o
akuntabilitas
dan tanggung jawab untuk mengelola risiko;
o
cara
penanganan konflik kepentingan;
o
komitmen
dalam memanfaatkan sumber daya yang dibutuhkan secara akuntabel dan bertanggung
jawab dalam mengelola risiko;
o
cara
pengukuran dan pelaporan kinerja manajemen risiko, dan
o
komitmen
untuk meninjau dan memperbaiki kebijakan manajemen risiko dan kerangka kerja
secara berkala, sebagai bentuk respon terhadap suatu peristiwa atau perubahan
keadaan.
Kebijakan
manajemen risiko harus dikomunikasikan dengan tepat.
4.3.3.
Akuntabilitas
Organisasi harus memastikan bahwa
ada akuntabilitas, kewenangan dan kompetensi yang sesuai untuk mengelola
risiko, termasuk menerapkan dan memelihara prosedur manajemen risiko dan
memastikan ketercukupan, efektivitas dan efisiensi dari setiap prosedur
pengendalian. Hal ini dapat ditunjang dengan hal-hal sebagai berikut:
o
mengidentifikasi
pemilik risiko yang memiliki akuntabilitas dan otoritas untuk mengelola risiko;
o
mengidentifikasi
siapa yang bertanggung jawab untuk pelaksanaan, pengembangan dan pemeliharaan
kerangka kerja dalam mengelola risiko;
o
mengidentifikasi
tanggung jawab lain setiap personil pada semua tingkatan dalam organisasi dalam
prosedur manajemen risiko;
o
menetapkan
pengukuran kinerja dan pelaporan eksternal dan atau internal dan prosedur
eskalasi, dan
o
memastikan
pengakuan setiap tingkatan yang tepat.
4.3.4.
Integrasi Dalam Prosedur
Organisasi
Manajemen risiko harus diterapkan dalam semua
kegiatan organisasi melalui sebuah prosedur dengan cara yang relevan, efektif
dan efisien. Prosedur manajemen risiko harus menjadi bagian dari, dan tidak
terpisah dari, prosedur organisasi. Secara khusus, manajemen risiko harus
diterapkan ke dalam perencanaan kebijakan pengembangan, bisnis, strategis dan
pengkajian ulang, melalui perubahan prosedur manajemen.
Harus ada perencanaan manajemen risiko dalam
organisasi untuk memastikan bahwa kebijakan manajemen risiko dilaksanakan, dan
manajemen risiko diterapkan dalam semua kegiatan dan prosedur organisas. Rencana pengelolaan risiko dapat
diintegrasikan ke dalam rencana lain organisasi, seperti rencana strategis.
4.3.5.
Sumber Daya
Organisasi harus mengalokasikan sumber daya
yang tepat dalam manajemen risiko. Hal-hal yang harus dipertimbangkan sebagai
berikut:
o
personil,
keterampilan, pengalaman dan kompetensi;
o
sumber
daya yang dibutuhkan untuk setiap langkah dari prosedur manajemen risiko;
o
prosedur
organisasi, metode dan instrumen yang akan digunakan dalam mengelola risiko;
o
dokumentasi
prosedur dan prosedur;
o
sistem
manajemen informasi dan pengetahuan, dan
o
program
pelatihan.
4.3.6.
Membangun Komunikasi Internal dan
Mekanisme Pelaporan
Organisasi harus membangun komunikasi internal
dan mekanisme pelaporan dalam rangka mendukung dan mendorong akuntabilitas dan
kepemilikan risiko. Mekanisme ini harus memastikan bahwa:
o
komponen
kunci dari kerangka kerja manajemen risiko, dan modifikasi selanjutnya,
dikomunikasikan dengan tepat;
o
ketersediaan
pelaporan internal yang memadai dalam kerangka, efektivitas dan memiliki hasil;
o
ketersediaan
informasi yang relevan berasal dari penerapan manajemen risiko pada tingkat dan
waktu yang tepat, dan
o
adanya
prosedur konsultasi dengan pemangku kepentingan internal.
Mekanisme
ini harus mencakup prosedur dalam mengkonsolidasikan informasi risiko yang
sesuai dari berbagai sumber, dengan tetap mempertimbangkan dampaknya.
4.3.7.
Membangun Komunikasi Eksternal dan
Mekanisme Pelaporan
Organisasi harus mengembangkan dan menerapkan
rencana untuk bagaimana akan melakukan komunikasi dengan pemangku kepentingan
eksternal. Hal ini harus melibatkan:
o
melibatkan
para pemangku kepentingan eksternal yang sesuai dan memastikan pertukaran
informasi yang efektif;
o
pelaporan
eksternal untuk mematuhi persyaratan hukum, peraturan, dan kebutuhan tata
kelola;
o
memberikan
umpan balik dan pelaporan melalui komunikasi dan konsultasi;
o
menggunakan
komunikasi dalam membangun kepercayaan dalam organisasi, dan
o
berkomunikasi
dengan pemangku kepentingan apabila terjadi krisis atau kontingensi.
Mekanisme
ini harus mencakup prosedur dalam mengkonsolidasikan informasi risiko yang
sesuai dari berbagai sumber, dengan tetap mempertimbangkan dampaknya
4.4.
Menerapkan Manajemen Risiko
4.4.1.
Menerapkan Kerangka Kerja Untuk
Mengelola Risiko
Dalam melaksanakan kerangka kerja organisasi
dalam mengelola risiko, organisasi
harus:
o
menentukan
waktu dan strategi yang tepat untuk menerapkan kerangka kerja;
o
menerapkan
kebijakan dan prosedur manajemen risiko dalam prosedur organisasi;
o
mematuhi
persyaratan hukum dan peraturan;
o
memastikan
bahwa pengambilan keputusan, termasuk pengembangan dan pengaturan tujuan,
sejalan dengan hasil dari prosedur manajemen risiko;
o
menyimpan
informasi dan sesi pelatihan, dan
o
berkomunikasi
dan berkonsultasi dengan para pemangku kepentingan untuk memastikan bahwa
kerangka manajemen risiko tetap sesuai.
4.4.2.
Menerapkan Prosedur Manajemen
Risiko
Manajemen risiko harus tetap diterapkan dengan
memastikan bahwa prosedur manajemen risiko yang diuraikan dalam butir 5
diterapkan melalui rencana manajemen risiko di semua tingkat yang relevan dan
fungsi organisasi sebagai bagian dari kegiatan dan prosedur.
4.5.
Pemantauan dan Peninjauan Kerangka
Untuk memastikan bahwa manajemen risiko yang
efektif dan terus mendukung kinerja organisasi, maka organisasi harus:
o
mengukur
indikator kinerja manajemen risiko dan secara periodik ditinjau ulang untuk
sisempurnakan;
o
secara
berkala, mengukur kemajuan terhadap, dan penyimpangan dari, rencana manajemen
risiko;
o
secara
berkala, melakukan pengkajian ulang terhadap kerangka kerja, kebijakan dan
rencana manajemen risiko masih tepat, mengingat konteks organisasi eksternal
dan internal;
o
laporan
tentang risiko, kemajuan dengan rencana manajemen risiko dan seberapa baik kebijakan
manajemen risiko sedang dilaksanakan, dan
o
mengkaji
ulang efektivitas kerangka manajemen risiko.
4.6.
Perbaikan Kerangka
Berkesinambungan
Berdasarkan hasil pemantauan dan kaji ulang,
keputusan harus dibuat tentang bagaimana kerangka kerja manajemen risiko,
kebijakan dan rencana dapat ditingkatkan. Keputusan ini harus mengarah pada
perbaikan manajemen risiko organisasi dan budaya manajemen risiko.
5.
Prosedur
5.1.
Umum
Prosedur manajemen risiko harus merupakan
o
bagian
integral dari manajemen,
o
diterapkan
dalam aktivitas dan budaya organisasi, dan
o
disesuaikan
dengan prosedur bisnis organisasi.
Secara
rinci, kegiatan ini akan dijelaskan pada butir 5.2-5.6. Prosedur manajemen
risiko sebagaimana ditunjukkan pada Gambar 3.
Gambar 3 - prosedur manajemen risiko
5.2.
Komunikasi dan Konsultasi
Komunikasi dan konsultasi dengan pemangku
kepentingan eksternal dan internal harus dilakukan di semua tahapan dari
prosedur manajemen risiko.
Oleh karena itu, rencana untuk komunikasi dan
konsultasi harus dikembangkan pada tahap awal. Hal inii akan mampu mengatasi
masalah yang berhubungan dengan risiko itu sendiri, penyebabnya, konsekuensinya
(jika diketahui), dan tindakan yang harus diambil untuk menanganinya.
Komunikasi dan konsultasi eksternal dan internal yang efektif harus dilakukan
untuk memastikan bahwa mereka bertanggung jawab untuk melaksanakan prosedur
manajemen risiko dan pemangku kepentingan memahami dasar keputusan dibuat, dan
alasan mengapa tindakan tertentu yang diperlukan.
Pendekatan tim konsultatif dapat:
o
membantu
menetapkan konteks dengan tepat;
o
memastikan
bahwa kepentingan pemangku kepentingan dipahami dan dipertimbangkan;
o
membantu
memastikan bahwa risiko diidentifikasi secara memadai;
o
membawa
berbagai bidang keahlian bersama untuk menganalisis risiko;
o
memastikan
bahwa pandangan yang berbeda secara tepat dipertimbangkan ketika menentukan
kriteria risiko dan dalam mengevaluasi risiko;
o
persetujuan
dan dukungan yang efektif dalam rencana penanganan;
o
meningkatkan
manajemen perubahan yang tepat selama prosedur manajemen risiko; dan
o
mengembangkan
komunikasi eksternal dan internal yang sesuai dan rencana konsultasi.
Komunikasi
dan konsultasi dengan pemangku kepentingan merupakan penting karena mereka
membuat penilaian mengenai risiko berdasarkan persepsi mereka terhadap risiko.
Persepsi dapat bervariasi karena perbedaan dalam nilai-nilai, kebutuhan,
asumsi, konsep dan keprihatinan para pemangku kepentingan. Seperti pandangan
mereka dapat memiliki dampak yang signifikan terhadap keputusan yang dibuat,
persepsi pemangku kepentingan harus diidentifikasi, dicatat, dan diperhitungkan
dalam prosedur pengambilan keputusan. Komunikasi dan konsultasi harus
memfasilitasi jujur, pertukaran relevan, akurat dan mudah dipahami informasi,
dengan mempertimbangkan aspek integritas rahasia dan pribadi.
5.3.
Menetapkan Konteks
5.3.1.
Umum
Dengan membentuk konteks, organisasi
mengartikulasikan tujuan dan mendefinisikan parameter eksternal dan internal
untuk diperhitungkan ketika mengelola risiko, kemudian menetapkan ruang lingkup
dan kriteria risiko untuk prosedur selanjutnya. Sementara itu, banyak parameter
sama dengan hal yang dipertimbangkan dalam disain kerangka kerja manajemen
risiko (lihat 4.3.1), saat membuat konteks untuk prosedur manajemen risiko,
perlu dipertimbangkan secara lebih rinci dan khususnya bagaimana hal tersebut
saling berhubungan dengan lingkup prosedur manajemen risiko.
5.3.2.
Menetapkan Konteks Eksternal
Konteks eksternal adalah lingkungan eksternal
dimana organisasi berupaya untuk mencapai tujuannya. Pemahaman konteks
eksternal sangat penting untuk memastikan tujuan dan kebutuhan para pemangku
kepentingan eksternal yang dipertimbangkan saat mengembangkan kriteria risiko.
Hal ini didasarkan pada konteks lingkup organisasi, tapi dengan persyaratan
hukum dan peraturan yang spesifik yang rinci, persepsi pemangku kepentingan dan
aspek lain dari risiko spesifik dengan ruang lingkup prosedur manajemen risiko.
Konteks eksternal dapat meliputi, tetapi tidak
terbatas pada:
o
hukum
sosial dan budaya, politik, regulasi, keuangan, teknologi, lingkungan ekonomi,
alam dan kompetitif, baik internasional, nasional, regional atau lokal;
o
pendorong
utama dan kecenderungan yang berdampak terhadap tujuan organisasi; dan
o
hubungan
dengan, persepsi dan nilai-nilai pemangku kepentingan eksternal.
5.3.3.
Menetapkan Konteks Internal
Konteks internal adalah lingkungan internal di
mana organisasi berusaha untuk mencapai tujuannya. Prosedur manajemen risiko
harus selaras dengan budaya organisasi, prosedur, struktur dan strategi.
Konteks internal merupakan segala sesuatu dalam organisasi yang dapat
mempengaruhi cara organisasi akan mengelola risiko. Hal tersebut perlu
ditetapkan karena:
a)
manajemen
risiko terjadi dalam konteks tujuan organisasi;
b)
tujuan
dan kriteria dari suatu proyek tertentu, prosedur atau kegiatan harus
dipertimbangkan dalam tujuan organisasi denga jelas secara keseluruhan; dan
c)
beberapa
organisasi gagal untuk mengenali peluang untuk mencapai tujuan strategis,
proyek atau bisnis, dan hal ini mempengaruhi kredibilitas komitmen, organisasi,
kepercayaan dan nilai. Secara berkelanjutan
Hal
ini diperlukan untuk memahami konteks internal. Hal ini dapat mencakup, namun
tidak terbatas pada:
o
tata
kelola, struktur organisasi, peran dan akuntabilitas;
o
kebijakan,
sasaran, dan strategi yang sesuai untuk mencapainya;
o
kemampuan
dan pemahaman tentang sumber daya dan pengetahuan (misalnya modal, waktu,
orang, prosedur, sistem dan teknologi);
o
hubungan,
persepsi dan nilai-nilai pemangku kepentingan internal dan budaya organisasi;
o
sistem
informasi, arus informasi dan prosedur pengambilan keputusan (baik formal dan
informal);
o
standar,
pedoman dan model yang diterapkan oleh organisasi; dan
o
format
dan skala hubungan kerjasama.
5.3.4.
Menetapkan Konteks Prosedur
Manajemen Risiko
Tujuan, strategi, ruang lingkup dan parameter
dari kegiatan organisasi, atau bagian-bagian dari organisasi dimana prosedur
manajemen risiko yang diterapkan, harus ditetapkan. Pengelolaan risiko harus
dilakukan dengan penuh pertimbangan kebutuhan dalam mendayagunakan sumber daya
yang digunakan dalam melaksanakan manajemen risiko. Sumber daya yang
diperlukan, tanggung jawab dan wewenang, dan catatan untuk disimpan juga harus
ditetapkan.
Konteks dari prosedur manajemen risiko akan
bervariasi sesuai dengan kebutuhan organisasi. Hal ini dapat melibatkan, namun
tidak terbatas pada:
o
mendefinisikan
tujuan dan sasaran dari kegiatan manajemen risiko;
o
mendefinisikan
tanggung jawab dan prosedur manajemen risiko;
o
menetapkan
ruang lingkup, serta kedalaman dan keluasan kegiatan manajemen risiko yang akan
dilakukan, termasuk inklusi khusus dan pengecualian;
o
mendefinisikan
aktivitas, prosedur, fungsi, proyek, produk, jasa atau aset, waktu dan lokasi;
o
mendefinisikan
hubungan antara prosedur, proyek atau kegiatan tertentu dan proyek lainnya,
prosedur atau kegiatan organisasi;
o
mendefinisikan
metodologi penilaian risiko tersebut;
o
mendefinisikan
kinerja dan efektivitas cara yang digunakan dalam mengevaluasi pengelolaan
risiko;
o
mengidentifikasi
dan menentukan keputusan yang harus dibuat, dan
o
mengidentifikasi,
pelingkupan atau kerangka pembelajaranm yang diperlukan, berkenaan dengan
tujuan dan sumber daya yang diperlukan untuk studi tersebut.
Perhatian
terhadap faktor relevan dan lainnya harus mampu memastikan bahwa pendekatan
manajemen risiko yang diterapkani sesuai dengan keadaan organisasi dan risiko
yang mempengaruhi pencapaian tujuannya.
5.3.5.
Mendefinisikan Kriteria Risiko
Organisasi harus menetapkan kriteria yang akan
digunakan untuk mengevaluasi signifikansi risiko. Kriteria harus dapat
mencerminkan nilai-nilai organisasi, tujuan dan sumber daya. Beberapa kriteria
yang dapat dikenakan oleh, atau berasal dari, persyaratan hukum, peraturan dan
persyaratan lainnya yang diterapkan oleh organisasi. Kriteria risiko harus
konsisten dengan kebijakan manajemen risiko organisasi (lihat 4.3.2), yang
didefinisikan pada awal setiap prosedur manajemen risiko dan akan terus
ditinjau.
Ketika mendefinisikan kriteria risiko, faktor
yang harus dipertimbangkan mencakup sebagai berikut:
o
sifat
dan jenis sebab dan akibat yang dapat terjadi dan bagaimana akan diukur;
o
bagaimana
kemungkinan akan didefinisikan;
o
jangka
waktu dari kemungkinan dan/atau konsekuensi;
o
bagaimana
tingkat risiko ditentukan;
o
pandangan
dari pemangku kepentingan;
o
tingkatan
atau bobot risiko yang dapat diterima
atau ditoleransi, dan
o
apakah
kombinasi dari beberapa risiko harus diperhitungkan, apabila demikian,
bagaimana dan kombinasi apa yang harus dipertimbangkan.
5.4.
Penilaian Risiko
5.4.1.
Umum
Penilaian risiko adalah prosedur keseluruhan
dari identifikasi risiko, analisis risiko dan evaluasi risiko.
Catatan :
IEC 31010 memberikan pedoman teknik penilaian
risiko.
5.4.2.
Identifikasi risiko
Organisasi harus mengidentifikasi sumber
risiko, area dampak, peristiwa (termasuk perubahan keadaan) dan penyebabnya dan
konsekuensi potensi risiko. Tujuan dari langkah ini adalah untuk menghasilkan
daftar lengkap risiko berdasarkan peristiwa yang mungkin mendukung,
meningkatkan, mencegah, menurunkan, mempercepat atau menunda pencapaian tujuan.
Hal tersebut merupakan hal penting untuk mengidentifikasi risiko yang terkait dengan
tidak mengejar kesempatan. Identifikasi komprehensif merupakan hal yang
penting, karena risiko yang tidak diidentifikasi pada tahap ini tidak akan
disertakan dalam analisis lebih lanjut.
Identifikasi risiko harus mencakup sumber daya
yang berada di bawah kendali organisasi, meskipun sumber risiko atau penyebab
mungkin tidak jelas. Identifikasi risiko harus mencakup pemeriksaan aspek dari konsekuensi tertentu, termasuk
dampak yang ada dan dampak kumulatif. Hal ini juga harus mempertimbangkan
berbagai konsekuensi bahkan jika sumber risiko atau penyebab mungkin tidak
jelas. Selanjutnya, mengidentifikasi apa yang mungkin terjadi, perlu untuk
mempertimbangkan kemungkinan penyebab dan skenario yang menunjukkan konsekuensi
yang dapat terjadi. Semua penyebab signifikan dan konsekuensi harus
dipertimbangkan.
Organisasi harus menerapkan instrumen dan
teknik identifikasi risiko yang sesuai dengan tujuan dan kemampuan, dan untuk
risiko yang dihadapi. Informasi yang relevan dan mutakhir merupakan hal penting
dalam mengidentifikasi risiko. Ini harus mencakup informasi latar belakang yang
tepat. Personil dengan pengetahuan yang sesuai harus dilibatkan dalam
mengidentifikasi risiko.
5.4.3.
Analisis Risiko
Analisis risiko melibatkan mengembangkan
pemahaman risiko. Analisis Risiko memberikan masukan mengambil risiko evaluasi
dan keputusan apakah risiko perlu ditangani, dan pada strategi risiko dan
metode penanganan yang paling tepat. Analisis risiko juga dapat memberikan
masukan dalam membuat keputusan dan pilihan yang melibatkan berbagai jenis dan
tingkat risiko.
Analisis risiko melibatkan pertimbangan
penyebab dan sumber risiko, konsekuensi positif dan negatif, dan kemungkinan
bahwa mereka konsekuensi dapat terjadi. Faktor-faktor yang mempengaruhi
konsekuensi dan kemungkinan harus diidentifikasi. Risiko dianalisis dengan
menentukan konsekuensi dan kemungkinan potensi dan atribut lain dari risiko.
Suatu peristiwa bisa menimbulkan konsekuensi ganda dan dapat mempengaruhi
berbagai tujuan. Pengendalian yang ada, efektivitas dan efisiensi juga harus
diperhitungkan.
Cara menyajikan konsekuensi dan kemungkinan
dan cara menggabungkan untuk menentukan tingkat risiko harus mencerminkan jenis
risiko, informasi yang tersedia, tujuan dan hasil penilaian risiko untuk
digunakan. Hal ini harus konsisten dengan kriteria risiko. Hal ini juga penting
untuk mempertimbangkan saling ketergantungan risiko yang berbeda dan sumber
yang ada.
Kepercayaan dalam penentuan tingkat risiko dan
kepekaan terhadap prasyarat dan asumsi harus dipertimbangkan dalam analisis,
dan dikomunikasikan secara efektif kepada para pembuat keputusan dan, pemangku
kepentingan lainnya jika diperlukan. Faktor-faktor seperti perbedaan pendapat
para ahli, ketidakpastian, ketersediaan, kualitas, kuantitas dan informasi
relevansi berkelanjutan, atau keterbatasan pada pemodelan harus dinyatakan dan
dapat ditelaah.
Analisis risiko dapat dilakukan dengan
berbagai tingkat secara rinci, tergantung pada risiko, tujuan analisis, dan
informasi, data dan sumber daya yang tersedia. Analisis dapat bersifat
kualitatif, semi kuantitatif atau kuantitatif, atau kombinasi dari, tergantung
pada keadaan.
Konsekuensi dan kemungkinan potensi risiko
dapat ditentukan dengan memodelkan hasil dari suatu peristiwa atau serangkaian
peristiwa, atau dengan ekstrapolasi dari studi eksperimental atau dari data
yang tersedia. Konsekuensi dapat dinyatakan dalam dampak berwujud dan tidak
berwujud. Dalam beberapa kasus, lebih dari satu nilai numerik atau deskripsi
yang diperlukan untuk menentukan konsekuensi dan kemungkinan potensi risiko
untuk waktu, tempat, kelompok atau situasi yang berbeda.
5.4.4.
Evaluasi Risiko
Tujuan evaluasi risiko adalah untuk membantu
dalam membuat keputusan, berdasarkan hasil analisis risiko, berkaitan dengan
risiko yang memerlukan prioritas penanganannya.
Evaluasi risiko menggunakan perbandingan
tingkat risiko yang ditemukan selama prosedur analisis dengan kriteria risiko
yang dibuat ketika konteksnya ditetapkan. Berdasarkan perbandingan ini,
penanganan perlu dipertimbangkan. Keputusan harus mempertimbangkan konteks yang
lebih luas dari risiko dan mencakup pertimbangan toleransi risiko yang
ditanggung oleh pihak lain selain manfat risiko bagi organisasi. Keputusan
harus dibuat sesuai dengan persyaratan hukum, peraturan dan lainnya. Dalam beberapa
situasi, evaluasi risiko dapat menyebabkan keputusan untuk melakukan analisa
lebih lanjut. Evaluasi risiko juga dapat menyebabkan keputusan untuk tidak
memperlakukan risiko dengan cara lain selain mempertahankan pengendalian yang
ada. Keputusan ini akan dipengaruhi oleh karakteristik risiko organisasi dan
kriteria risiko yang telah ditetapkan.
5.5.
Penanganan Risiko
5.5.1.
Umum
Penanganan risiko menggunakan pemilihan satu
atau lebih pilihan untuk memodifikasi risiko, dan melaksanakan pilihan
tersebut. Setelah diimplementasikan, penanganannya atau modifikasi proses
pengendalian risiko.
Penanganan risiko terdiri atas siklus prosedur
sebagai berikut:
o
menilai
penanganan risiko;
o
memutuskan
apakah tingkat risiko residual yang ada;
o
jika
tidak ditoleransi, menghasilkan penanganan risiko baru, dan
o
menilai
efektivitas penanganan itu.
Pemilihan
penanganan risiko tidak harus saling tertutup atau tepat dalam segala situasi.
Pilihan yang dapat dilakukan mencakup hal berikut:
a)
menghindari
risiko dengan memutuskan untuk tidak memulai atau melanjutkan dengan kegiatan
yang menimbulkan risiko;
b)
mengambil
atau meningkatkan risiko untuk memanfaatkan peluang;
c)
menghilangkan
sumber risiko;
d)
mengubah
kemungkinan;
e)
mengubah
konsekuensi;
f)
berbagi
risiko ke pihak lain atau pihak tertentu (termasuk kontrak dan pembiayaan
risiko), dan
g)
mempertahankan
risiko dengan keputusan.
5.5.2.
Pemilihan Opsi Penanganan Risiko
Memilih opsi penanganan risiko yang paling
tepat mencakup keseimbangan biaya dan upaya pelaksanaan terhadap manfaat yang
diperoleh, berkaitan dengan persyaratan hukum, peraturan, dan lain seperti
tanggung jawab sosial dan perlindungan lingkungan alam. Keputusan juga harus
mempertimbangkan perhitungan risiko yang dapat menjamin perlakuan risiko yang
tidak dapat dibenarkan dengan alasan ekonomi, misalnya parah (konsekwensi
negatif yang tinggi) tapi jarang (kemungkinan rendah) risiko.
Sejumlah pilihan penanganan dapat
dipertimbangkan dan diterapkan baik secara sendiri atau dalam kombinasi.
Organisasi ini biasanya bisa mendapatkan keuntungan dari penerapan kombinasi
pilihan penanganan. Ketika memilih opsi penanganan risiko, organisasi harus
mempertimbangkan nilai-nilai dan persepsi para pemangku kepentingan dan cara
yang paling tepat untuk berkomunikasi dengan mereka. Dalam menentukan opsi
penanganan risiko yang berdampak pada timbulnya risiko di tempat lain dalam
suatu organisasi, maka pemangku kepentingan harus terlibat dalam pengambilan
keputusan tersebut. Meskipun sama-sama efektif, beberapa penanganan risiko
dapat lebih diterima oleh sejumlah pemangku kepentingan dari pihak lainnya.
Rencana penanganan risiko harus secara jelas mengidentifikasi urutan prioritas
di mana penanganan risiko individu harus dilaksanakan.
Penanganan risiko mampu menemukenali potensi
risiko. Sebuah risiko yang signifikan dapat menjadi kegagalan atau tidak
efektifnya tindakan penanganan risiko. Pemantauan perlu menjadi bagian integral
dari rencana penanganan risiko dalam memberikan jaminan bahwa tindakan tetap
efektif.
Penanganan Risiko juga dapat menemukenali
risiko sekunder yang perlu dinilai, diperlakukan, dipantau dan dikaji. Risiko
sekunder harus dimasukkan ke dalam rencana penanganan risiko yang sama dengan
risiko yang asli dan tidak diperlakukan sebagai risiko baru. Hubungan antara
dua risiko harus diidentifikasi dan dipertahankan.
5.5.3.
Membuat dan Melaksanakan Rencana
Penanganan Risiko
Tujuan dari rencana penanganan risiko adalah
untuk mendokumentasikan bagaimana pilihan penanganan yang dipilih akan
diimplementasikan. Informasi yang disediakan dalam rencana penanganan harus
meliputi:
o
alasan
untuk pemilihan opsi penanganan, termasuk manfaat yang diharapkan akan
diperoleh;
o
personil
yang bertanggung jawab untuk menyetujui rencana dan personil yang bertanggung
jawab untuk mengimplementasikan rencana tersebut;
o
tindakan
yang diusulkan;
o
kebutuhan
sumber daya termasuk kontinjensi;
o
ukuran
kinerja dan kendala;
o
pelaporan
dan persyaratan pemantauan, dan
o
waktu
dan jadwal.
Rencana
penanganan harus diintegrasikan dengan prosedur manajemen organisasi dan
didiskusikan dengan pemangku kepentingan. Pengambil keputusan dan pemangku
kepentingan lainnya harus menyadari sifat dan tingkat risiko sisa setelah
penanganan risiko. Risiko sisa harus didokumentasikan, dipantau, dikaji ulang
dan, apabila sesuai, akan dilakukan penanganan lebih lanjut.
5.6.
Pemantauan dan Kaji Ulang
Pemantauan dan pengkajian ulang harus menjadi
bagian yang direncanakan dari prosedur manajemen risiko dan mencakup
pemeriksaan atau pengawasan. Hal ini dapat dilaksanakan secara periodik atau ad
hoc. Tanggung jawab pemantauan dan pengkajian ulang harus ditetapkan secara
jelas. Pemantauan organisasi dan prosedur pengkajian ulang harus mencakup semua
aspek dari prosedur dan tujuan manajemen risiko:
o
memastikan
bahwa pemantauanl yang efektif dan efisien baik dalam disain dan operasi;
o
memperoleh
informasi lebih lanjut untuk meningkatkan penilaian risiko;
o
menganalisis
dan belajar dari peristiwa (termasuk nyaris), perubahan, tren, keberhasilan dan
kegagalan;
o
mendeteksi
perubahan dalam konteks eksternal dan internal, termasuk perubahan kriteria
risiko dan risiko itu sendiri yang memerlukan revisi penanganan risiko dan
prioritas, dan
o
mengidentifikasi
risiko yang muncul.
Kemajuan
pelaksanaan rencana penanganan risiko yang menyediakan ukuran kinerja. Hasil
dapat dimasukkan ke dalam pengukuran kinerja organisasi secara keseluruhan
manajemen, dan kegiatan pelaporan eksternal dan internal.
Hasil
pemantauan dan pengkajian ulang harus dicatat dan dilaporkan secara eksternal
dan internal, dan juga harus digunakan sebagai masukan bagi penelaahan terhadap
kerangka kerja manajemen risiko (lihat 4.5).
5.7.
Dokumantasi Prosedur Manajemen
Risiko
Kegiatan manajemen risiko harus mudah
dipantau. Dalam prosedur manajemen risiko, dokumentasi merupakan dasar untuk
perbaikan metode dan alat serta prosedur secara keseluruhan. Keputusan tentang
pembuatan dokumentasi harus mempertimbangkan:
o
kebutuhan
organisasi untuk terus belajar;
o
manfaat
menggunakan kembali informasi untuk tujuan manajemen;
o
biaya
dan usaha yang terlibat dalam menciptakan dan memelihara dokumentasi;
o
hukum,
peraturan dan operasional kebutuhan dokumentasi;
o
metode
akses, kemudahan pembaharuan dan media penyimpanan;
o
periode
retensi, dan
o
sensitivitas
informasi.
Lampiran
A (Informatif)
Atribut
Manajemen Risiko Yang Disempurnakan
A.1.
Umum
Semua organisasi harus memiliki tujuan pada
tingkat yang sesuai kinerja kerangka kerja manajemen risiko sejalan dengan
kekritisan satu keputusan yang harus dibuat. Daftar atribut di bawah ini
merupakan tingkat kinerja yang tinggi dalam mengelola risiko. Untuk membantu
organisasi dalam mengukur kinerja mereka sendiri terhadap kriteria ini,
beberapa indikator yang nyata diberikan untuk setiap atribut.
A.2.
Hasil Kunci
A.2.1.
Saat
ini, rganisasi memiliki pemahaman yang benar dan komprehensif berkaitan dengan
risiko.
A.2.2.
Risiko
organisasi itu berada dalam kriteria risiko tersebut.
A.3.
Atribut
A.3.1.
Perbaikan Berkesinambungan
Sebuah ditempatkan pada perbaikan
berkesinambungan dalam manajemen risiko melalui penetapan tujuan kinerja
organisasi, pengukuran, review dan modifikasi selanjutnya dari prosedur,
sistem, sumber daya, kemampuan dan keterampilan.
Hal ini dapat ditunjukkan dengan adanya tujuan
kinerja yang eksplisit terhadap organisasi dan kinerja manajer individu diukur.
Kinerja organisasi dapat dipublikasikan dan dikomunikasikan. Biasanya, akan ada
setidaknya kajian tahunan kinerja dan kemudian revisi prosedur, dan penetapan
sasaran kinerja revisi untuk periode berikutnya.
Ini manajemen risiko penilaian kinerja
merupakan bagian integral dari penilaian kinerja organisasi secara keseluruhan
dan sistem pengukuran untuk departemen dan individu.
A.3.2.
Tanggung Jawab Penuh Berkenaan
Dengan Risiko
Peningkatan manajemen risiko termasuk
komprehensif, akuntabilitas sepenuhnya didefinisikan dan diterima sepenuhnya
untuk risiko, kontrol dan tugas risiko penanganan. Ditunjuk individu sepenuhnya
menerima akuntabilitas, adalah tepat terampil dan memiliki sumber daya yang
memadai untuk memeriksa kontrol, risiko monitor, meningkatkan kontrol dan
berkomunikasi secara efektif tentang risiko dan manajemennya untuk pemangku
kepentingan eksternal dan internal.
Hal ini dapat ditunjukkan oleh seluruh anggota
organisasi sepenuhnya sadar akan risiko, kontrol dan tugas yang mereka
bertanggung jawab. Biasanya, ini akan disimpan di pekerjaan / posisi deskripsi,
database atau sistem informasi. Definisi manajemen risiko peran, akuntabilitas
dan tanggung jawab harus menjadi bagian dari semua program induksi organisasi.
Organisasi memastikan bahwa mereka yang
bertanggung jawab dilengkapi untuk memenuhi peran bahwa dengan menyediakan
mereka dengan, waktu otoritas, pelatihan, sumber daya dan keterampilan yang
memadai untuk menganggap akuntabilitas mereka.
A.3.3.
Penerapan Manajemen Risiko Dalam
Semua Pengambilan Keputusan
Semua pengambilan keputusan dalam organisasi,
apa pun tingkat kepentingan dan signifikansi, melibatkan pertimbangan eksplisit
risiko dan penerapan manajemen risiko pada tingkat tertentu sesuai. Hal ini
dapat ditunjukkan oleh catatan rapat dan keputusan untuk menunjukkan bahwa
diskusi eksplisit pada risiko terjadi. Selain itu, seharusnya mungkin untuk
melihat bahwa semua komponen manajemen risiko diwakili dalam prosedur kunci
untuk pengambilan keputusan dalam organisasi, misalnya untuk keputusan pada
alokasi modal, pada proyek-proyek besar dan pada re-strukturisasi dan perubahan
organisasi. Untuk alasan ini, manajemen risiko berdasarkan nyenyak terlihat
dalam organisasi menyediakan dasar untuk pemerintahan yang efektif.
A.3.4.
Komunikasi Terus Menerus
Peningkatan manajemen risiko mencakup
komunikasi terus menerus dengan para pemangku kepentingan eksternal dan
internal, termasuk pelaporan yang komprehensif dan sering kinerja manajemen
risiko, sebagai bagian dari pemerintahan yang baik.
Hal ini dapat ditunjukkan dengan komunikasi
dengan pemangku kepentingan sebagai komponen integral dan penting dari
manajemen risiko. Komunikasi dengan tepat dilihat sebagai prosedur dua arah,
sehingga keputusan yang benar informasi dapat dibuat tentang tingkat risiko dan
kebutuhan untuk penanganan risiko terhadap kriteria risiko secara baik
didirikan dan komprehensif. Pelaporan eksternal dan internal yang komprehensif
dan sering pada kedua risiko secara signifikan dan kinerja manajemen risiko
memberi kontribusi besar kepada pemerintahan yang efektif dalam sebuah
organisasi.
A.3.5.
Integrasi Menyeluruh Dalam
Struktur Tata Kelola Organisasi
Manajemen risiko dipandang sebagai pusat untuk
prosedur manajemen organisasi, sehingga risiko dianggap dalam hal efek
ketidakpastian pada tujuan. Struktur tata kelola dan prosedur didasarkan pada
manajemen risiko. Manajemen risiko yang efektif dianggap oleh manajer sebagai
penting untuk pencapaian tujuan organisasi.
Hal ini ditunjukkan dengan bahasa manajer dan
bahan-bahan tertulis penting dalam organisasi menggunakan
"ketidakpastian" dalam kaitannya dengan risiko. Atribut ini juga
biasanya tercermin dalam laporan organisasi kebijakan, terutama yang berkaitan
dengan manajemen risiko. Biasanya, atribut ini akan diverifikasi melalui
wawancara dengan manajer dan melalui bukti dari tindakan mereka dan pernyataan.
Nice blog really cool stuff you have added ..Keep sharing brother. ISO 14001 Certification in Dubai
ReplyDelete